.. _tutorial_oidc: ============================================= Testovací konfigurace CAAIS s OIDC protokolem ============================================= .. include:: authentization-certificate.inc.rst Založení AIS ============ Pro založení minimálního AIS jsou potřeba tyto údaje: - název a unikátní kód (zkratka) - subjekt správce - návratová URL pro OIDC - autentizační certifikát V našem příkladu vytváříme aplikaci pro schvalování formulářů spravovanou Ministerstvem administrativních záležitostí, jehož lokální administrátorem je Humphrey Appleby. Přihlášení ---------- Přihlásíte se to systému jako Humphrey Appleby a vybereme jeho profil na Ministerstvu administrativních záležitostí. .. figure:: images/fig02.webp :width: 1000px Základní údaje -------------- Na záložce AIS klepneme na přidat nový AIS (+AIS). Vyplníme základní údaje. **Zkratka** je jedinečný kód (identifikátor) AIS v CAAIS. Důrazně doporučujeme volit pouze *bezpečné ASCII znaky* bez mezery a jiných bílých znaků. Jako **povolenou doménu** zvolíme *gov.cz*. Návratovou URL po autentizaci necháme prázdnou – slouží pouze pro AIS využívající legacy protokol JIP/KAAS. **Povolenou návratovou URL pro SAML a OIDC** vyplníme dle vlastní aplikace – na tuto adresu je uživatel po autentizaci přesměrován spolu s tokenem přihlášení. (V případě potřeby je možné zadat více adres; konkrétní adresa je jedním z parametrů předávaných z AIS do CAAIS při požadavku na autentizaci uživatele.) .. figure:: images/fig03.webp :width: 1000px Správce konfigurace AIS ----------------------- V dalším kroku přiřadíme AIS **správce**. Může jím být jakýkoli uživatel provozovatele. Pro jednoduchost volíme sami sebe. Po založení má správce pravomoc dokončit nastavení AIS. .. figure:: images/fig04.webp :width: 1000px Autentizační certifikát ----------------------- V dalším kroku do systému nahrajeme veřejnou část certifikátu pro autentizaci, jak jsme ji obdrželi od (testovací) certifikační autority. AIS může od CAAIS vyžadovat ověření přihlášení a údaje o uživateli jen tehdy, naváže-li TLS spojení s některým svým registrovaným certifikátem, jinak je spojení odmítnuto. .. figure:: images/fig05.webp :width: 1000px Výběr Identity Providera ------------------------ Po založení AIS musíme ještě bezpodmínečně vybrat alespoň jednu službu, proti které budeme uživatele ověřovat. Na záložce **LoA** vybereme *CAAIS_IDP*, neb ta jediná je na testovacím prostředí aktivní a změnu nastavení uložíme. .. figure:: images/fig06.webp :width: 1000px Otestování konfigurace ---------------------- Nyní můžeme úspěšné založení AIS v CAAIS otestovat. Na adrese `https://rest-openidconnectapi.caais-test-ext.gov.cz/oauth2/authorize?client_id=MAZ_FORMS`, kde místo `MAZ_FORMS` uvedete kód vlastního AIS, by se měla zobrazit přihlašovací stránka včetně CAAIS-IdP jako zdroje pro ověření uživatele. (Skutečná žádost o přihlášená obsahuje v URL ještě další parametry, ale pro toto rychlé otestování nejsou nezbytné.) .. figure:: images/fig07.oidc.webp :width: 1000px .. include:: role.inc.rst Kam dál? ======== OIDC konfiguraci CAAIS serveru naleznete na adrese https://rest-openidconnectapi.caais-test-ext.gov.cz/.well-known/openid-configuration. Další podrobnosti (předávané atributy atd.) jsou uvedeny v dokumentaci pro vývojáře :ref:`api_oidc`.